Tech Blog

Eine kritische SQL-Injection-Lücke in der XWiki Full Calendar Macro ermöglichte es Nutzern mit Zugriff auf die Calendar.JSONService-Seite, vertrauliche Daten abzugreifen oder Denial-of-Service-Angriffe durchzuführen. Das Problem wurde in Version 2.4.5 behoben.

In Ghost CMS, einer Node.js-basierten Content-Management-Plattform, wurde eine Sicherheitslücke in der Behandlung von Staff-Token-Authentifizierung entdeckt. Betroffen sind die Versionen 5.121.0 bis 5.130.5 sowie 6.0.0 bis 6.10.3. Angreifer konnten so auf eigentlich nur für Administratoren zugängliche Endpunkte zugreifen. Das Problem wurde in den Versionen 5.130.6 und 6.11.0 behoben. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22595, CVE-2026-22594).

Eine kritische Sicherheitslücke in React Router, einer weit verbreiteten Routing-Bibliothek für React-Anwendungen, ermöglicht unsichere Weiterleitungen, die zu unbeabsichtigter JavaScript-Ausführung auf Clientseite führen können. Das Problem betrifft Versionen vor 1.23.2 von @remix-run/router und Versionen 7.0.0 bis 7.11.0 von react-router. Ein Patch ist in den Versionen 1.23.2 und 7.12.0 verfügbar.

Eine kritische Sicherheitslücke in der -Komponente von React Router ermöglicht bei Server-Side-Rendering die Ausführung von beliebigem JavaScript, wenn unsichere Inhalte zur Generierung der Schlüssel verwendet werden. Der Patch ist in @remix-run/react 2.17.3 und react-router 7.12.0 enthalten. Ohne Server-Side-Rendering oder bei Verwendung von Declarative Mode bzw. Data Mode ist die Lücke nicht betroffen.

Eine kritische Schwachstelle in den Versionen 7.0.0 bis 7.9.3 von React Router und in den Remix-Versionen vor 2.17.2 ermöglicht es Angreifern, auf Dateien außerhalb des Session-Verzeichnisses zuzugreifen. Dies kann je nach Berechtigungen des Webserver-Prozesses zum Auslesen sensibler Daten führen. Die Lücke wurde in den neuesten Versionen behoben.

In Versionen 11.0.6 bis 25.0.0 des Content-Management-Systems HAX CMS gibt es eine kritische Sicherheitslücke, die es Angreifern ermöglicht, durch gespeicherte XSS-Angriffe die Kontrolle über Nutzerkonten zu übernehmen. Der Patch in Version 25.0.0 behebt dieses Problem. Sysadmins sollten dringend auf die aktuelle Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Die Desktop-App DevToys für Entwickler enthält bis zur Version 2.0.8.0 eine schwerwiegende Sicherheitslücke bei der Installation von Erweiterungen. Angreifer können durch präparierte Erweiterungspakete beliebige Dateien auf dem System überschreiben. Dies kann zu Codeausführung, Konfigurationsmanipulation oder Datenbeschädigung führen. Das Problem wurde in Version 2.0.9.0 behoben.

Google hat ein Sicherheitsupdate für Chrome und Android WebView veröffentlicht, um eine kritische Schwachstelle (CVE-2026-0628) zu schließen. Die Lücke gefährdete sensible Nutzerdaten und ermöglichte potenziell Remote-Code-Ausführung. Betroffene Nutzer sollten ihre Android-Geräte umgehend aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

Die BeeS Software Solutions BET Portal-Anwendung weist eine kritische SQL-Injection-Schwachstelle in der Loginkomponente auf. Dadurch können Angreifer beliebige SQL-Befehle auf der Datenbank ausführen und so auf sensible Daten zugreifen oder das System manipulieren. Eine zeitnahe Behebung der Lücke ist dringend erforderlich, um Datenverluste und Kompromittierungen zu verhindern.

Eine kritische Sicherheitslücke in Zenitel-Geräten ermöglicht es Angreifern mit gültigen Zugangsdaten, beliebige Befehle auszuführen. Dies kann zu erheblichen Risiken für die Netzwerksicherheit führen, da Angreifer das System manipulieren können. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-64090, CVE-2025-64091, CVE-2025-64093).